[datensicherheit.de, 05.02.2025] „Omdia hat vor kurzem die Ergebnisse einer neuen Globalumfrage unter Smartphone-Nutzern vorgestellt. Deren Fazit: auch wenn es um Smartphones geht, stellen Phishing-Angriffe derzeit das mit Abstand größte Sicherheitsrisiko dar.“ Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf Ergebnisse einer Studie ein, wonach Phishing auch für den Einsatz von Smartphones „Sicherheitsrisiko Nr. 1“ darstellt. Fast ein Viertel aller Befragten, knapp 24 Prozent, gab demnach in dieser Umfrage zu Protokoll, schon mindestens einmal Opfer eines Phishing-Angriffs auf ihr Smartphone geworden zu sein. An zweiter Stelle folgten Malware und Viren (knapp 20%) – welche in aller Regel in Begleitung von „Social Engineering“-Angriffen in die Systeme ihrer Opfer gelangten.

Foto: KnowBe4

Dr. Martin J. Krämer: Omdia-Forscher raten Smartphone-Herstellern dringend, in Punkto Phishing-Schutz weiter nachzurüsten!

Ergebnisse einer unlängst erschienen Omdia-Untersuchung zu Premium-Smartphones durch Umfrage bestätigt

Diese Umfrage bestätige die Ergebnisse einer unlängst erschienen Omdia-Untersuchung zu Premium-Smartphones. Auch hierbei lautete laut Dr. Krämer das Fazit: „Smartphones aller Hersteller tun sich mit Phishing-Angriffen nach wie vor schwer – wenn auch in unterschiedlicher Qualität.“ So hätten etwa führende Premium-Smartphones, wie z.B. Googles „Pixel 9 Pro“ und Samsungs „Galaxy S24“, in der Untersuchung etwas besser abgeschnitten als Apples „iPhone 16 Pro“ und „Android“-basierte Geräte, wie etwas das „OnePlus 12“, „Xiaomi 14“ und „Honor Magic 6 Pro“.

Nichtsdestotrotz habe allen Geräten in Punkto Anti-Phishing-Schutz nur ein schwaches Zeugnis ausgestellt werden können: „Keinem Smartphone gelang es, alle Phishing-SMS, -Anrufe und -E-Mails erfolgreich abzufangen. Am besten schnitten die Geräte noch bei Phishing-Sprachanrufen ab.“ Eine Untersuchung simulierter Spam-Anrufe habe ergeben, dass alle „Android“-Geräte von Google über Xiaomi, OnePlus und Honor bis hin zu Samsung mutmaßliche Spam-Anrufe erfolgreich markiert hätten, „bevor sie dem Nutzer zur Beantwortung vorgelegt wurden“. Eine Ausnahme habe hierbei lediglich das „iPhone 16“ gebildet. „Anders sah es bei Phishing-E-Mails aus. Keines der getesteten Geräte konnte die simulierten Phishing-E-Mails von Google Mail vollständig als Phishing-Angriff identifizieren. Erkannt wurden sie lediglich als Spam – und das auch nur, wenn sie von Googles SMTP gesendet wurden.“

Smartphones sollten unbedingt mit einem besseren Phishing-Schutz ausgestattet werden!

Immerhin: Geräte mit „Google Safe Browsing“-Schutz hätten erfolgreich das Öffnen von Links blockiert. „Ein Warnbildschirm wurde anzeigt und vom Nutzer eine Bestätigung eingefordert, sollte er den Link tatsächlich anklicken wollen.“ Auch hierbei sei die Schutzqualität aber, abhängig vom verwendeten Browser, unterschiedlich ausgefallen. „Samsung Internet“ beispielsweise, habe effektiv die meisten Links blockiert, einschließlich erweiterter benutzerdefinierter URLs, während die Internetbrowser von Xiaomi Mii und OnePlus ihre Nutzer nicht vor bekannten bösartigen Links gewarnt hätten.

„Die Omdia-Forscher rieten Smartphone-Herstellern deshalb dringend, in Punkto Phishing-Schutz weiter nachzurüsten!“ Dem könne nur zugestimmt werden. „Smartphones sollten unbedingt mit einem besseren Phishing-Schutz ausgestattet werden, der sowohl SMS und Sprachanrufe, als auch E-Mails erfolgreich abdecken kann!“

Auch Verbraucher sollten aktiv zur Stärkung der Datensicherheit bei Smartphones beitragen!

Doch nicht nur die Hersteller, auch die Endverbraucher müssten mehr tun. Eine stärkere Sensibilisierung der Nutzer sei nötig und möglich. „Gerade dann, wenn es nicht nur um das private, sondern auch um das Firmenhandy geht. Leicht können Angreifer einen Phishing-Angriff auf das Smartphone nutzen, um sensible Daten zum Unternehmen, seiner Mitarbeiter- und Prozessstruktur oder auch zu Credentials abzugreifen.“

Schulungen, Trainings und Tests seien unerlässlich, wollten Unternehmen die Anfälligkeit ihrer Mitarbeiter für solche und ähnliche Phishing-Angriffe reduzieren. Eine weitere wichtige Maßnahme, an der in den kommenden Jahren kaum ein IT-Entscheider herumkommen werde, sei die Einführung einer modernen „Anti-Phishing & Incident Response Management“-Lösung. KI-gestützt und gefüttert über einen „Global Threat Feed“, ermöglichten diese eine automatische Bedrohungserkennung und -beseitigung, mit der Unternehmen auch und gerade E-Mail-basierte Phishing-Angriffe endlich in den Griff bekommen könnten.

Weitere Informationen zum Thema:

PR Newswire, Omdia, 20.01.2025
Omdia survey finds phishing attacks top smartphone security concern for consumers

datensicherheit.de, 21.06.2023
Urlaubszeit: Dienst-Smartphones können unterwegs zur Gefahr für Unternehmen werden / Laut Umfrage von G DATA nutzen über 80 Prozent der Deutschen auf Reisen freies WLAN mit ihrem Firmen-Smartphone

datensicherheit.de, 23.06.2021
Blindes Vertrauen: Deutschen vernachlässigen Smartphone-Sicherheit / Neue McAfee-Studie zeigt, dass die Deutschen zu wenig für ihre Smart-Device-Sicherheit tun

[datensicherheit.de, 30.12.2024] Vermehrt verlocken QR-Codes (QRC) u.a. auf Verpackungen, Plakaten oder sogar in Bars Verbraucher, einfach ihr Smartphone daran zu halten, um über den enthaltenen Link weitere Informationen zu erhalten oder andere Aktionen auszulösen. Diese vermeintliche Leichtigkeit sieht Chester Wisniewski, Sicherheitsexperte bei Sophos, kritisch und rät, trotz vieler Vorteile für Unternehmen und Konsumenten zur Vorsicht und Einzelfallprüfung.

Foto: Sophos

Chester Wisniewski: Ich sehe die Sicherheit von QR-Codes nicht besser werden!

QR-Codes versprechen Bequemlichkeit, Schnelligkeit und Sparsamkeit…

Wisniewski legt hierzu dar: „Der Mensch neigt bekanntlich zur Bequemlichkeit. Warum noch extra den Browser mit dem kleinen Smartphone-Display bemühen – da kommt ein QR-Code doch goldrichtig. Informationen, die auf der Stelle gebraucht werden, sind so schnell zur Hand.“ Diese Vorteile setzten nun immer mehr Unternehmen ein, beispielsweise um Kunden Zusatzinformationen zu Produkten oder deren Nutzung zu bieten. Er warnt eindringlich: „Und wie das immer so ist, sind Cyber-Kriminelle nicht weit, sobald sich eine Technik im Alltag durchgesetzt hat. ,Quishing’ heißt die Betrugsart mit QR-Codes.“ Diesen Trend hat Sophos nach eigenen Angaben in dem Beitrag beschrieben (s.u.).

Indes: QR-Codes erweisen sich offensichtlich wachsender Beliebtheit in Verkauf, Marketing und bei Bezahlsystemen. Wisniewski erläutert, wie es zu dieser Entwicklung kam und inwieweit sie das Kundenerlebnis gefühlt verbessern: „Niemand spricht gern in Computer-Art. Der Vorteil, ein Smartphone für schnelle Informationen oder Aktionen nutzen zu können, ist eine starke Motivation sowohl für die Anbieter als auch die Nutzer von QR-Codes.“ Dies in Kombination mit den ökologischen Vorzügen des Nicht-Ausdruckens von Dokumenten und der Tatsache, dass viele Unternehmen komplexe Tracking-Tokens in die URLs einbauen könnten, trage zur QRC-Verbreitung zusätzlich bei.

QR-Codes bieten durchaus großen Mehrwert – aber Bedenken zur Sicherheit nehmen zu

Während QR-Codes also durchaus einen großen Mehrwert böten, nähmen aber auch die Bedenken zu ihrer Sicherheit zu. Wisniewski führt aus, welche Arten von Betrug oder schadhaften Aktivitäten in den letzten Jahren aufgetaucht sind, welche Nutzer via QR-Codes ins Visier genommen hätten: Jeder könne QR-Codes herstellen und es sei nicht möglich, sie zu authentifizieren. „Es erfordert einen hohen Grad an Vertrauen beim Konsumenten, dass der QR-Code, den er am Parkscheinautomat oder auf dem Kaffeetisch sieht, echt ist!“

Sophos hat demnach von Vorfällen gehört – speziell in denen Zahlungen beteiligt waren – bei denen Betrüger QR-Codes ausgedruckt haben und diese auf echte QR-Codes aufklebten, um die Leute auf eine Phishing-Webseite zu lenken und dort ihre Kreditkarten-Daten und persönliche Informationen abzugreifen.

Kontrolle erforderlich – insbesondere, wenn QR-Codes öffentlich aushängen

Zur Frage, welche Schritte beispielsweise Händler unternehmen könnten, um sicherzustellen, dass die QR-Codes, welche sie in den Geschäften oder online einsetzen, sicher und legitimiert sind, und wie sie ihre Kunden vor potenziellem Betrug oder Phishing-Angriffen schützen, gibt Wisniewski zu bedenken: „Geschäfte, Händler, Gastronomie usw., die QR-Codes nutzen, sollten sie regelmäßig kontrollieren – insbesondere, wenn die QR-Codes öffentlich aushängen!“ Dies werde zu einer größeren Herausforderung bei verteilten Systemen wie etwa Parkscheinautomaten. Konsumenten seien daher gut beraten, keine QR-Codes zu scannen, denen sie nicht wirklich vertrauen könnten und lieber ein anderes Zahlungsmittel mit weniger Risiken verwenden.

Wisniewski betont: „Ich persönlich meide Geldautomaten, die zweifelhafte Tastaturen haben oder sich ersichtlich nicht im Originalzustand befinden – das gleiche könnte man für QR-Sticker anwenden.“ QR-Codes sollten wirklich niemals online genutzt werden, denn die meisten seien nur eine visuelle Form einer URL. Wenn man möchte, dass jemand auf einen Link klickt, dann sollte man auch einen Link benutzen. Es gebe Ausnahmen, aber im Allgemeinen bestätigten sie diese Regel.

Sicherste Weg für Konsumenten: QR-Codes eben nicht scannen

Wisniewski Tipp zu „Red Flags“, vor denen sich Konsumenten in Acht nehmen sollten, wenn sie QR-Codes in der Öffentlichkeit oder auf Produkten scannen, um nicht zum Opfer Cyber-Krimineller zu werden: „QR-Codes übertragen ein Bild in eine Webseiten-Adresse. Wenn der Code im Browser öffnet, sollte man auf die Adressleiste sehen und prüfen, wohin man als Nutzer gelenkt wurde.“

Gefalle dieses Ziel nicht, sei es klug, die betroffene Anwendung zu beenden. Der sicherste Weg für den Konsumenten sei, den QR-Code eben nicht zu scannen. „Stattdessen lieber die Lieblingssuchmaschine nutzen!“ Es existierten jedoch auch Applikationen für mobile Geräte (wie z.B. „Sophos Intercept X“), welche QR-Codes Scanner beinhalteten, „die auf schadhafte Links aufmerksam machen“.

Im Idealfall sollten QR-Codes fest und ersichtlich eingebettet sein und nicht nur als aufgeklebter Sticker vorliegen

Wisniewski wirft zum Abschluss seiner Ausführungen einen Blick in die Zukunft – wie sich die Rolle von QR-Codes im Verkauf und in anderen Branchen weiterentwickeln wird: Ob diese nun mittels neuer Technologien sicherer werden oder ob die Sicherheit eine Herausforderung bleiben wird. „Ich sehe die Sicherheit von QR-Codes nicht besser werden. Sie sind ursprünglich für Maschinen entwickelt worden und nicht dafür, dass Menschen sie im Alltag nutzen.“

Eine QRC-Authentifizierung stelle ein Aufgabe dar, welche sich nicht so simpel lösen lasse. „Im Idealfall sollten QR-Codes in Plakate, Produktverpackung etc. fest und ersichtlich eingebettet sein und nicht nur ein Sticker, der irgendwo draufgepappt wurde.“ Die Verantwortung liege aber durchaus beim Konsumenten: „Wenn ein QR-Code komisch erscheint, lieber die Finger davon lassen und auf eine bewährte, sichere Informationsgewinnung oder Zahlung setzten!“

Weitere Informationen zum Thema:

SOPHIS NEWS, Jörg Schindler, 07.11.2024
Sophos X-Ops / Cybercrime-Trend im Aufwind: Phishing mit QR-Codes

SOPHOS
Chester Wisniewski / Director, Global Field CTO

datensicherheit.de, 06.12.2024
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch / HR- und IT-bezogene Phishing-E-Mails machen signifikanten Anteil von 48,6 Prozent der weltweit am häufigsten angeklickten Phishing-Typen aus

datensicherheit.de, 26.03.2024
Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr / Schutz gegen QR-Code-Phishing durch phishing-resistente MFA für die Konten

datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt

[datensicherheit.de, 24.08.2024] ESET-Forscher haben nach eigenen Angaben „eine Cybercrime-Kampagne aufgedeckt, die Kunden von drei tschechischen Banken ins Visier nahm“: Die eingesetzte Malware namens „NGate“ kann demnach die Daten von Zahlungskarten inklusive PIN der Opfer über eine bösartige, auf ihren „Android“-Geräten installierte App an das gerootete „Android“-Telefon des Angreifers übermitteln. Das Hauptziel dieser Kampagne sei es gewesen, unautorisierte Geldabhebungen von Geldautomaten aus den Bankkonten der Opfer zu ermöglichen. Dafür seien NFC-Daten (Nahfeldkommunikation) von den physischen Zahlungskarten der Opfer über ihre kompromittierten „Android“-Smartphones mithilfe der „Ngate“-„Android“-Malware ans Gerät des Angreifers weitergeleitet worden. „Der Angreifer nutzte diese Daten dann, um Transaktionen am Geldautomaten durchzuführen. Wenn diese Methode scheiterte, hatten die Angreifer einen ,Plan B’, bei dem sie Gelder von den Konten der Opfer auf andere Bankkonten übertrugen.“

ESET-Warnung: Die Malware kann Daten von NFC-fähigen Bankkarten auslesen und an Angreifer weiterleiten

„Wir haben diese neuartige NFC-Relais-Technik bisher bei keiner anderen ,Android’-Malware gesehen. Die Technik basiert auf einem Tool namens ,NFCGate’, das von Studenten der Technischen Universität Darmstadt entwickelt wurde, um NFC-Verkehr zu erfassen, zu analysieren oder zu verändern. Daher haben wir diese neue Malware-Familie ,NGate’ genannt“, berichtet der Entdecker dieser neuartigen Bedrohung und Technik, Lukáš Štefanko.

Die Betrüger nutzten eine Kombination aus bewährten Techniken wie „Social Engineering“, bei dem Menschen durch Täuschung zu bestimmten Handlungen verleitet würden, und Phishing, bei dem sie gefälschte Nachrichten oder Websites nutzten, um an persönliche Informationen zu gelangen. „In diesem Fall erhielten die Opfer eine SMS, die angeblich von ihrer Bank stammte und sie aufforderte, eine App herunterzuladen, um ein angebliches Problem mit ihrem Konto zu beheben.“

Nachdem die Opfer diese App auf ihrem Android-Smartphone installiert hatten, wurde ihr Gerät laut ESET von der „NGate“-Malware infiziert. Diese Malware könne Daten von NFC-fähigen Bankkarten auslesen und an die Angreifer weiterleiten. Mit diesen Daten könnten die Kriminellen dann Geld an einem Geldautomaten abheben, als hätten sie die Karte selbst in der Hand. Sogar die PIN könne über diese Schad-App erbeutet werden.

ESET entdeckte „NGate“-Malware erstmals im November 2023

Bisher seien vor allem Kunden von drei großen tschechischen Banken betroffen gewesen. „ESET entdeckte die NGate-Malware erstmals im November 2023. Die Angreifer verschickten ihre gefälschten Nachrichten an zufällig ausgewählte Mobilfunknummern in Tschechien.“

NFC ist eine Technologie, die es ermöglicht, Daten über kurze Distanzen drahtlos zu übertragen – und wird häufig für kontaktloses Bezahlen mit Bankkarten genutzt. „Wenn Sie Ihre Karte einfach über das Lesegerät an der Kasse halten, überträgt die NFC-Technologie die Zahlungsinformationen. In diesem Fall nutzten die Betrüger diese Technologie, um die Zahlungsdaten zu stehlen und auf ihren eigenen Geräten zu nutzen.“

Um sich vor solchen Angriffen zu schützen, raten ESET-Experten zu folgenden Vorsichtsmaßnahmen:

• „Öffnen Sie keine Links oder laden Sie keine Apps herunter, die Sie per SMS oder E-Mail erhalten, ohne die Echtheit zu prüfen!“
• „Laden Sie Apps nur aus offiziellen App-Stores wie dem ,Google Play Store’ herunter!“
• „Halten Sie Ihre PIN-Codes geheim und teilen Sie sie niemals per Nachricht mit!“
• „Verwenden Sie Sicherheits-Apps, die Ihr Smartphone vor Schadsoftware schützen!“
• „Deaktivieren Sie die NFC-Funktion Ihres Smartphones, wenn Sie sie nicht benötigen, um den unbefugten Zugriff auf Ihre Karten zu verhindern!“

ESET empfiehlt, sich über aktuelle Bedrohungen zu informieren und dem Rat von IT-Sicherheitsexperten zu folgen

Diese neue Betrugsmethode zeige, wie kreativ und gefährlich Kriminelle im Digitalen Zeitalter werden könnten. ESET betont, „dass es das erste Mal ist, dass eine derartige Malware im Umlauf entdeckt wurde, die ohne das sogenannte ,Rooten’ des Smartphones funktioniert“.

„Rooten“ bedeutet, dass tiefere Änderungen am Betriebssystem des Smartphones vorgenommen werden, was oft für bestimmte Arten von Schadsoftware notwendig ist – „dass dies hier nicht erforderlich war, macht die Malware besonders heimtückisch und für viele Nutzer gefährlich“.

Die Entdeckung der „NGate“-Malware zeige, „wie wichtig es ist, wachsam zu bleiben und Sicherheitsvorkehrungen zu treffen, wenn es um den Schutz der eigenen Finanzen geht“. Digitale Betrüger entwickelten ständig neue Methoden, um an Geld zu kommen. Daher sei es entscheidend, sich über aktuelle Bedrohungen zu informieren und den Rat von IT-Sicherheitsexperten zu befolgen.

Weitere Informationen zum Thema:

WeLiveSecurity, Lukas Stefanko & Jakub Osmani, 22.08.2024
NGate Android malware relays NFC traffic to steal cash

[datensicherheit.de, 14.04.2024] Das eigene Smartphone ist für Nutzer offenbar wie ein Schatz: Tausende oder gar Zehntausende Fotos finden sich womöglich darin, die Zugänge zu Chats, Sozialen Medien und zum Online-Banking, die Kommunikation mit dem Partner, dem Freundes- und Familienkreis… Ob dieser „Schatz“ auch in andere Hände gegeben wird, hat der Digitalverband Bitkom e.V. nach eigenen Angaben untersucht: Die Befragung habe im Zeitraum von KW 1 bis KW 3 2024 stattgefunden und sei als Gesamtumfrage repräsentativ:

34 Prozent schließen laut Bitkom-Umfrage Weitergabe an Partner kategorisch aus

Es kommt demnach darauf an, wie die Umfrage unter 1.007 Personen in Deutschland ab 16 Jahren, darunter 769 Nutzer von Smartphones, ergeben habe: „Mehr als ein Drittel (38%) hat schon einmal Partner oder Partnerin bzw. Ehemann oder Ehefrau Zugriff auf das eigene Smartphone gewährt: 41 Prozent sind es bei den Frauen und 35 Prozent bei den Männern. Weitere 23 Prozent können sich zumindest vorstellen, dem Lebensgefährten oder der Lebensgefährtin Zugriff auf das Gerät zu geben.“ Aber: 34 Prozent schlössen dies kategorisch aus, wobei dies auf 41 Prozent der Männer und 28 Prozent der Frauen zutreffe.

Praktisch keine Geschlechterunterschiede gebe es, wenn es um die eigenen Kinder geht: 27 Prozent der Smartphone-Nutzerinnen und -Nutzer in Deutschland hätten dem eigenen Nachwuchs bereits das Smartphone in die Hände gegeben, weitere 27 würden dies künftig tun. Ausgewählten Freundinnen oder Freunden gäben 23 Prozent ihr „Handy“, 24 Prozent könnten sich dies vorstellen. 20 Prozent hätten ihr Gerät auch schon einmal den eigenen Eltern überlassen, 22 Prozent würden dies tun.

Bitkom-Experte: Das Smartphone gehört für die allermeisten Nutzer zur Privatsphäre

Jeder Zehnte sagt allerdings auch: „Mein Smartphone ist für andere tabu – ich habe und würde gar niemandem das Gerät überlassen.“ Dr. Sebastian Klöß, Experte für „Consumer Technology“ beim Bitkom, erläutert: „Das Smartphone gehört für die allermeisten Nutzerinnen und Nutzer zur Privatsphäre. Vielen behagt es daher nicht, es anderen zu überlassen.“

Wichtig sei nicht nur Vertrauen in die anderen Person – vor allem komme es grundsätzlich immer darauf an, besonders sensible Daten wie Passwörter oder auch Banking-Apps vor unberechtigtem Zugriff zu schützen. Übrigens seien die Deutschen bei Personengruppen außerhalb ihres Familien- und Freundeskreises sehr restriktiv: „22 Prozent vertrauen das Smartphone ihrem Arzt / ihrer Ärztin an bzw. können sich das vorstellen – und 13 Prozent dem Anwalt oder der Anwältin.“

Weitere Informationen zum Thema:

datensicherheit.de, 12.08.2022
Vertrauen 2.0: Zukunftsbüro des BMBF veröffentlicht neue Studie / Strategische Vorausschau zur Zukunft des Vertrauens in digitalen Welten

datensicherheit.de, 23.06.2021
Blindes Vertrauen: Deutschen vernachlässigen Smartphone-Sicherheit / Neue McAfee-Studie zeigt, dass die Deutschen zu wenig für ihre Smart-Device-Sicherheit tun

[datensicherheit.de, 01.03.2024] Die Annahme, dass mobile Geräte wie Smartphone und Tablet keinen Cyber-Schutz benötigen, sollte laut Kaspersky „gründlich überdacht“ werden, denn hauseigene Experten haben demnach im Jahr 2023 weltweit einen deutlichen Anstieg der Angriffe auf mobile Geräte auf rund 33,8 Millionen verzeichnet, „was einem Plus von fast 52 Prozent gegenüber dem Vorjahr entspricht“. In Deutschland seien 513.441 Angriffe auf Mobilgeräte festgestellt worden – „und damit die meisten innerhalb der verglichenen europäischen Länder“.

Kaspersky-Analyse der mobilen Bedrohungslandschaft 2023 zeigt zunehmende Verbreitung mobiler Sicherheitsrisiken…

Die jährliche Kaspersky-Analyse der mobilen Bedrohungslandschaft zeige eine zunehmende Verbreitung mobiler Sicherheitsrisiken und die Weiterentwicklung schädlicher Tools sowie auf mobile Geräte abzielender Technologien. Es sei ein deutlicher Aufwärtstrend bei Angriffen auf mobile Geräte zu beobachten: „Allein im Jahr 2023 stieg die Zahl solcher Angriffe auf 33.790.599; dies entspricht einem deutlichen Anstieg von knapp 52 Prozent im Vergleich zu 22.255.956 Angriffen im Jahr 2022.“

„Die Bedrohungszunahme im Bereich der ,Android’-Malware- und Riskware-Aktivitäten im Jahr 2023 ist besorgniserregend, insbesondere auch weil zuvor eher weniger passiert ist. Der Anstieg, der bis zum Jahresende ein Niveau erreicht, das an jenes von Anfang 2021 erinnert, unterstreicht die erhebliche Bedrohung, der sich Nutzer derzeit ausgesetzt sehen“, kommentiert Waldemar Bergstreiser, „General Manager Central Europe“ bei Kaspersky. Daher sei es wichtig, wachsam zu bleiben und auch auf mobilen Geräten robuste Sicherheitsmaßnahmen zu implementieren, um sich vor den sich ständig weiterentwickelnden Cyber-Bedrohungen adäquat zu schützen.

Bedrohung für mobile Geräte: Adware 2023 weltweit ganz vorne

Die am weitesten verbreitete Bedrohung für mobile Geräte sei im vergangenen Jahr – 2023 – sogenannte Adware gewesen, eine Art von Software, welche unerwünschte (und manchmal lästige) Popup-Werbung anzeige. Diese habe 40,8 Prozent aller entdeckten Bedrohungen ausgemacht. Bei den Banking-Trojanern hingegen sei die Zahl der Installationen auf 153.682 zurückgegangen, „nachdem sie im Vorjahr stark angestiegen war und sich verdoppelt hatte“; die Zahl der Angriffe mit mobilen Banking-Trojanern sei relativ konstant geblieben.

Cyber-Kriminelle verbreiteten gegen mobile Nutzer gerichtete Malware häufig über offizielle und inoffizielle App-Stores. „Im Jahr 2023 beobachteten die Experten von Kaspersky zahlreiche schädliche Apps, die in ,Google Play’ eingeschleust wurden. Eine der häufigsten Arten im Jahr 2023 waren gefälschte Investment-Apps. Diese nutzen Social-Engineering-Taktiken, um persönliche Daten von Nutzern zu extrahieren, insbesondere Telefonnummern und vollständige Namen.“ Diese Daten würden anschließend Datenbanken hinzugefügt, „die für Telefonbetrug verwendet werden“. Ein weiterer häufig beobachteter Angriffsvektor seien schädliche „WhatsApp“- und „Telegram“-Mods, die darauf abzielten, Nutzerdaten zu stehlen.

Kaspersky-Empfehlungen auf Basis der Erkenntnisse von 2023 zum Schutz vor Bedrohungen auf mobilen Geräten:

• Apps nur aus offiziellen Stores wie dem „Apple-App-Store“, „Google Play“ oder dem „Amazon Appstore“ herunterladen. Diese garantierten zwar keinen vollständigen Schutz, würden jedoch zumindest von Mitarbeitern der Anbieter geprüft. Zudem sorge ein Filtersystem dafür, dass nicht jede App in die Stores gelangen kann.
• App-Berechtigungen vor ihrem Einsatz stets überprüfen, insbesondere solche mit höherem Risiko wie Zugangsdienste. Eine Taschenlampe benötige beispielsweise nur Zugriff auf das Blitzlicht, nicht jedoch die Kamera des Geräts.
• Eine zuverlässige Sicherheitslösung helfe, schädliche Apps und Adware zu erkennen, bevor sie auf einem Gerät Schaden anrichten kann (Schutzlösungen wie z.B. „Kaspersky Premium“ seien direkt bei den Mobilfunkbetreibern erhältlich).
• Updates für das Betriebssystem und wichtige Anwendungen installieren, sobald sie verfügbar sind. Hierdurch könnten viele Sicherheitsprobleme vermieden werden.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, Anton Kivva, 26.02.2024
The mobile malware threat landscape in 2023

[datensicherheit.de, 21.06.2023] Auch F-Secure warnt zum Sommerbeginn 2023 und zur bevorstehenden Urlaubszeit vor den häufig unterschätzen Gefahrenquellen wie Gratis-Wi-Fi, öffentlichen Netzwerken und automatischen Log-in Funktionen und rät zum Schutz vor sogenanntem Identitätsdiebstahl. „Auch in den schönsten Wochen des Jahres sind Smartphone und Co. täglich im Einsatz für Nachrichten an die Familie, die Erstellung von Reiseschnappschüssen oder das Online-Banking. Besondere Vorsicht ist dabei in unbekannten Umgebungen geboten, denn Datenverlust, Identitätsdiebstahl und Malware-Infektionen können Folge unvorsichtiger Nutzung öffentlicher Netzwerke sein.“ Aus diesem Grund gelte besonders im Urlaub, die eigenen Daten zu schützen und potenzielle Gefahrenquellen bereits vor Reiseantritt zu kennen.

Abbildung: F-Secure

F-Secure hilft zu prüfen, ob persönlichen Daten von einem bekannt gewordenen Datendiebstahl betroffen sind…

Gefahrenquellen im Urlaub: Gratis-Wi-Fi, automatische Log-in Prozesse und Juice Jacking

Bei Reisenden seien kostenlose Wi-Fi-Zugänge und öffentliche Netzwerke besonders beliebt. Diese könnten jedoch eine große Gefahr darstellen! „In den meisten Fällen verbinden sich Geräte nach dem ersten Mal automatisch mit vermeintlich vertrauten WLAN-Netzwerken. Dabei gleicht das eigene Gerät zur Verifizierung nur den Namen des Wi-Fis ab.“ Der Einsatz „böser“ Wi-Fi-Zwillinge mit demselben Namen ermögliche dann den Diebstahl von Daten wie Cookies. „Da die Sicherheitsmechanismen öffentlicher Netzwerke oft intransparent und unzureichend sind, egal ob im In- oder Ausland, heißt es besondere Vorsicht walten zu lassen und gezielte Maßnahmen zur Vorbeugung zu treffen.“

Ein weiterer Weg für unbefugten Zugriff sei die sogenannte „Remember Me“-Funktion: Log-ins, bei denen man seinen Benutzernamen und Passwort mit nur einem Klick speichern könne, seien zwar komfortabel, aber nicht unbedingt sicher. „Sie erkennen den Nutzer nur anhand seiner Cookies. Einmal gestohlen, können sie genutzt werden, um Log-ins ganz zu umgehen.“ Felix Blank, Sicherheitsexperte bei F-Secure, warnt daher: „Cookies sind die Generalschlüssel der digitalen Welt. Wer in einem Urlaubshotel ungeschützt ein Netzwerk nutzt, lässt diesen Schlüssel quasi am Hotelbüfett offen herumliegen.“

Vorsicht sei auch in Hinblick auf sogenanntes Juice Jacking geboten, bei dem ein Cyber-Angriff über den USB-Anschluss beim Aufladen eines mobilen Gerätes stattfinde: Öffentliche Ladestationen und USB-Anschlüsse in Hotelzimmern könnten mit Schadsoftware „verseucht“ sein und synchronisierte Daten abgreifen.

Lösungen für den Urlaub: VPN, USB-Datenblocker-Adapter und Identitätsdiebstahl-Checker

Um Diebstahl und Missbrauch von Daten bei der Nutzung öffentlicher WLAN-Hotspots entgegenzuwirken, biete sich ein persönliches VPN an: „Eine VPN-Verbindung weist der eigenen Internetverbindung einen sicheren Weg wie durch einen Tunnel. Das eigene Signal wird über verschlüsselte Server weitergeleitet, so dass die Daten für die Betrüger nicht erreichbar sind“, erläutert Blank. Der Verkehr von Daten werde dadurch zuverlässig geschützt – Online-Banking oder Online-Shopping seien dann kein Problem mehr.

Wenn unterwegs einmal der Akku-Stand sinkt und öffentliche Ladestationen genutzt werden, sei es sinnvoll, einen USB-Datenblocker-Adapter zu verwenden, um einen unbeabsichtigten Datentransfer zu verhindern. Unternehmen wie Apple und Google hätten die automatische Synchronisations-Funktion ihrer Geräte bereits deaktiviert. „Man kann aber immer noch einmal sichergehen und einen USB-Datenblocker-Adapter dazwischenschalten“, so Blank.

Mit diesen vorbeugenden Maßnahmen könne auch ein möglicher Identitätsdiebstahl verhindert werden. Hacker nutzten personenbezogene Daten oftmals nicht nur zu ihrem eigenen Vorteil, sondern verkauften sie auch im sogenannten Darknet weiter. Der „F-Secure Identitätsdiebstahl-Checker“ z.B. ermögliche auf einfache Weise eine Überprüfung, ob private Informationen bereits in „Leaks“ auftauchen. Sollte dies der Fall sein, sei eine sofortige Änderung der Passwörter dringend zu empfehlen.

Weitere Informationen zum Thema:

F-Secure
Prüfen Sie, ob Sie von einem Datendiebstahl betroffen sind

datensicherheit.de, 21.06.2023
Urlaubszeit: Dienst-Smartphones können unterwegs zur Gefahr für Unternehmen werden / Laut Umfrage von G DATA nutzen über 80 Prozent der Deutschen auf Reisen freies WLAN mit ihrem Firmen-Smartphone

datensicherheit.de, 31.08.2021
4 McAfee-Tipps zum Schutz der Tablets und Smartphones im Familienurlaub / McAfee gibt Sicherheits-Tipps, da die Anzahl gezielter Angriffe auf Mobile Devices um mehr als hundert Prozent gestiegen ist

datensicherheit.de, 24.06.2021
Urlaubszeit ist auch Phishing-Hochsaison / Neue Webroot-Analyse zeigt Raffinesse Cyber-Krimineller auf, sich saisonale Aufmerksamkeit für Phishing-Attacken nutzbar zu machen

[datensicherheit.de, 21.06.2023] G DATA warnt zum Sommerbeginn 2023, dass das Dienst-Smartphone im Urlaub zur Gefahr für Unternehmen werden kann. Denn: „Unterwegs spart öffentliches WLAN mobile Daten und Kosten. Das ist auch mit dem Diensthandy bequem, aber gefährlich, denn Kriminelle nutzen es als Einfallstor.“ Die nach eigenen Angaben repräsentative „CyberDefense“-Umfrage von G DATA zum Gebrauch von Firmengeräten im Urlaub offenbart demnach „Nachholbedarf bei der IT-Sicherheit“: Vier von fünf Personen verwendeten mit ihrem dienstlichen Smartphone freies WLAN und riskierten, „dass vertrauliche Daten von ihrem Unternehmen in die Hände von Cyber-Kriminellen geraten“. Die repräsentative Umfrage sei von der OmniQuest GmbH im Auftrag der G DATA CyberDefense AG im Juni 2023 mit insgesamt 1.000 Internetnutzern aus Deutschland durchgeführt worden. G DATA gibt nun in seiner aktuellen Stellungnahme fünf Tipps, „was vor Urlaubsbeginn in Sachen IT-Sicherheit wichtig ist“:

Abbildung: G DATA

Ergebnisse der repräsentativen „CyberDefense“-Umfrage 2023 von G DATA

Großes Smartphone-Sicherheitsrisiko: Freies WLAN ohne VPN (nicht nur) im Urlaub

„IT-Sicherheit kennt keine Ferien“ – eine repräsentative G-DATA-Umfrage zum Reiseverhalten zeige, „dass bei jedem zweiten Deutschen auch ein Smartphone oder Tablet von der Firma mit im Gepäck ist“. Das Problem sei: Vier von fünf der befragten Personen nutzten mit ihrem dienstlichen Gerät öffentliches WLAN im Hotel, am Bahnhof oder am Flughafen. Nur jeder Zweite setze dabei auf eine sichere Verbindung mit einem „Virtual Private Network“ (VPN). In kostenfreien WLAN-Hotspots lauere eine große Bedrohung: Cyber-Kriminelle könnten sich zwischen Nutzer und Zugriffspunkt schalten und auf diese Weise E-Mails, Kreditkartendaten oder Log-in-Daten für das Firmennetzwerk mitlesen. Um die Unternehmensdaten zu schützen und Missbrauch zu verhindern, sollte die IT-Sicherheit in den Ferien mit Dienst-Smartphone nicht vernachlässigt werden.

Ob als Navigationsgerät bei der selbst geplanten Entdeckungstour im Urlaubsort oder als Kameraalternative für Erinnerungen – das Smartphone ist auch auf Reisen offensichtlich unverzichtbar. Frei verfügbares WLAN im Café oder an anderen öffentlichen Orten erscheine bei Verbindungsproblemen oder aus Kostengründen verlockend, „denn es verspricht eine stabile und schnelle Verbindung“. Laut der aktuellen G-DATA-Urlaubsumfrage nutzten 82,4 Prozent der Reisenden mit Dienstgerät öffentliches WLAN und riskierten damit, „dass Cyber-Kriminelle Zugang zu Firmendaten bekommen“. Frei verfügbare WLAN-Netze seien in der Regel nicht verschlüsselt oder passwortgeschützt. Cyber-Kriminelle könnten hierdurch den Datenstrom mitlesen oder Schadsoftware auf das Gerät schleusen. Nur die Hälfte der Reisenden mit Smartphone oder Tablet nutzten VPN, um sich sicher im Internet zu bewegen.

Unternehmen sollten VPN-Software nutzen – insbesondere, wenn Smartphones und Tablets auch privat genutzt werden

„Unternehmen sollten auf eine VPN-Software nicht verzichten, wenn sie die Möglichkeit bieten, Smartphones und Tablets auch privat zu nutzen“, rät Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense, und führt aus: „Öffentliche WLAN-Netze zum Surfen oder USB-Anschlüsse zum Laden können riskant sein.“ Um Mitarbeiter für die Gefahren im Urlaub zu sensibilisieren und eine höhere Sicherheit zu gewährleisten, rät er zu sogenannten Security Awareness Trainings.

Generell gelte für den Urlaub mit internetfähigen Geräten, egal ob Privat- oder Firmengerät: Sie sollten so wenig Daten wie möglich enthalten. Wichtig sei es außerdem, alle Anwendungen mit Updates auf den neuesten Stand zu bringen – vom Betriebssystem über die Apps, bis hin zur Sicherheitssoftware.

5 Sicherheitstipps von G DATA für den digitalen Reisekoffer mit Smartphone und Tablet

Backups machen!
Vor Reiseantritt sind Datensicherungen von wichtigen Informationen, Fotos und Kontakten sinnvoll. Durch Sicherung auf einem Speichermedium oder in der „Cloud“ lassen sich diese im Falle eines Geräteverlusts schnell wiederherstellen. Generell gilt: So wenig vertrauliche Daten wie möglich in den Urlaub mitzunehmen!

Security-Software installieren!
Eine leistungsfähige Sicherheitslösung gehört zur Grundausstattung jedes PCs und Mobilgeräts. Neben einem effektiven Viren-Schutz sollte diese auch einen Spam-Filter, eine Firewall und einen Echtzeitschutz gegen Online-Bedrohungen umfassen. Wenn das Handy abhandenkommt, lassen sich Daten häufig auch aus der Ferne löschen.

Updates durchführen!
Ein aktuelles Betriebssystem sowie Updates von Anwendungen und Apps schließen kritische Sicherheitslücken. Angriffe laufen somit ins Leere und der Computer oder das mobile Gerät bleiben sicher.

VPN-Software installieren!
VPN sorgt für eine sichere Verbindung durch eine verschlüsselte Übertragung von Daten. Diese sind von außen nicht einsehbar und können von Cyber-Kriminellen nicht entschlüsselt werden.

Powerbank oder USB-Kondom einpacken!
USB-Ladestationen bieten Cyber-Kriminellen viel Raum, um Schaden anzurichten. Eine Alternative zu öffentlichen Ladeorten ist die eigene Powerbank. USB-Ladestationen sollten nur mit einem sogenannten USB-Kondom genutzt werden, das in keinem Gepäck fehlen sollte. Es schützt beim Aufladen vor Datenableitung und wird zwischen Ladekabel und Buchse gesteckt, so dass nur der Strom zum Aufladen fließt.

Mehr Tipps für eine sichere Reise mit digitalen Geräten lässt sich im G-DATA-Ratgeber „Sicher im Urlaub“ finden. Im aktuellen Blog-Artikel „Reisen ohne Cyber-Stress: Tipps für einen sicheren Urlaub“ gibt Berghoff noch weitere Informationen zu sicheren Ferien mit dem Smartphone.

Weitere Informationen zum Thema:

G DATA CyberDefense, Joy Linders, 21.06.2023
Reisen ohne Cyber-Stress: Tipps für einen sicheren Urlaub

G DATA Ratgeber
Sicher im Urlaub / Reisen ohne Cyber-Stress

CANCOM.info
Smartphones in Unternehmen ja, Sicherheitsrisiken nein

datensicherheit.de, 21.06.2023
Cybersecurity auch im Urlaub: Schutz vor Datenverlust, Identitätsdiebstahl und Malware-Infektionen / Besondere Vorsicht ist in unbekannten Umgebungen geboten – insbesondere im Urlaub

datensicherheit.de, 31.08.2021
4 McAfee-Tipps zum Schutz der Tablets und Smartphones im Familienurlaub / McAfee gibt Sicherheits-Tipps, da die Anzahl gezielter Angriffe auf Mobile Devices um mehr als hundert Prozent gestiegen ist

datensicherheit.de, 24.06.2021
Urlaubszeit ist auch Phishing-Hochsaison / Neue Webroot-Analyse zeigt Raffinesse Cyber-Krimineller auf, sich saisonale Aufmerksamkeit für Phishing-Attacken nutzbar zu machen

[datensicherheit.de, 23.05.2023] Forscher des japanischen Security-Anbieters Trend Micro haben nach eigenen Angaben auf der Hacking-Konferenz „Black Hat Asia“ bekanntgegeben, dass weltweit Millionen von „Android“-Smartphones mit bösartiger Firmware infiziert sind – „und das noch bevor die Geräte überhaupt die Produktion verlassen“. Die Hacker-Gruppierung „Lemon Group“ konnte demnach eine Malware namens „Guerilla“ nach eigenen Aussagen in 8,9 Millionen Geräte einschleusen.

Fernzugriffe auf Android-Smartphones zu vermieten

Die Sicherheitsforscher warnen daher davor, dass Cyber-Kriminelle via Proxy-Plugin den Fernzugriff auf „Android“-Smartphones vermieten und sich pro Minute dafür bezahlen lassen könnten. Zugriff gebe es auf Tastatureingaben von Passwörtern, den geographischen Standort, die IP-Adresse und weitere vertrauliche Daten.

„Die Werbung für dieses Geschäftsmodell findet auf ,facebook’, ,YouTube’ sowie Blogs statt und Verkaufsangebote gibt es im Darknet.“ Auch eine Nutzung als „Exit Node“, einem Server, der dem „Tor“-Nutzer den Zugang zum Internet zur Verfügung stelle, sei möglich.

Wachsende Gefahr für Android-Privatanwender sowie Unternehmen

Diese Entwicklung stelle nun eine wachsende Gefahr für Privatanwender und Unternehmen weltweit dar:

• Zwar kontrollierten die großen Smartphone-Anbieter „Google, Samsung & Co.“ ihre Lieferkette besser; in vielen Fällen werde jedoch die Produktion der Geräte an einen Erstausrüster (englisch: Original Equipment Manufacturer / OEM) ausgelagert, so dass ein Glied in der Fertigungskette, z.B. ein Firmware-Lieferant, die Produkte bei der Auslieferung mit bösartigem Code infiziere.
• Auch sogenannte Smart-TVs und „Android“-TV-Boxen könnten davon betroffen sein.
• Das Lieferkettensorgfaltspflichtengesetz (kurz: Lieferkettengesetz) – in Deutschland Anfang 2023 für Unternehmen ab 3.000 Mitarbeiter in Kraft getreten – kontrolliere faire Bedingungen und ökonomische Nachhaltigkeit in der Lieferkette: „Das ist aber nur EIN Baustein, auf den Unternehmen in ihrer ,Supply Chain’ achten sollten.“
• Es sei im Interesse eines jeden Unternehmens, einen genauen Blick auf die Lieferkette zu werfen, denn diese habe auch vielfache Auswirkungen auf die IT-Security und könne unkontrollierbare Eintrittstore schaffen.
• Ein weiteres Beispiel für einen Kontrollverlust in der Lieferkette stelle die Verteilung des kompromittierten VoIP-Clients von 3CX dar. „Auch dieser Vorfall ging auf einen vorausgehenden Lieferketten-Angriff zurück.“

Weitere Informationen zum Thema:

heise online, Dennis Schirrmacher, 16.05.2023
Malware ab Werk: Android-Trojaner vermietet Opfer-Smartphones minutenweise / Sicherheitsforscher warnen davor, dass Kriminelle den Fernzugriff auf Android-Smartphones vermieten – sie rechnen pro Minute ab

[datensicherheit.de, 15.08.2022] Check Point Research (CPR) hat nach eigenen Angaben Schwachstellen gefunden, „die es ermöglichen, Zahlungen zu fälschen und das Zahlungssystem direkt von einer unprivilegierten ,Android’-Anwendung aus zu deaktivieren“. CPR habe sämtliche Erkenntnisse verantwortungsbewusst mit Xiaomi geteilt – der Hersteller habe dann die Schwachstellen bestätigen und – basierend auf der resultierenden Zusammenarbeit – diese Gefahr beseitigen können.

Abbildung: cp

Tencent-Soter-Implementierung auf Xiaomi-Geräten

Angreifer könnten die von Xiaomi oder MediaTek in vertrauenswürdigen Anwendungen vorgenommenen Sicherheitsbehebungen umgehen

Laut neuester Statistiken seien 2021 zwei Drittel der weltweiten mobilen Zahlungen auf den Fernen Osten und China entfallen – dies entspreche in etwa vier Milliarden US-Dollar an Transaktionen mit mobilen Geldbörsen. Entsprechend groß sei daher das Interesse von Hackern, sich Zugang oder sogar Kontrolle über solche virtuellen Zahlungswege zu verschaffen.

Xiaomi könne seine eigenen vertrauenswürdigen Anwendungen einbetten und signieren. CPR habe festgestellt, dass Angreifer eine alte Version einer vertrauenswürdigen Applikation auf das Gerät übertragen und damit die neue App-Datei überschreiben könnten. „So kann ein Angreifer die von Xiaomi oder MediaTek in vertrauenswürdigen Anwendungen vorgenommenen Sicherheitsbehebungen umgehen, indem er sie auf nicht gepatchte Versionen herunterstuft.“

Dabei hätten die Forscher mehrere Schwachstellen in der vertrauenswürdigen App „thhadmin“ endeckt, welche für die Sicherheitsverwaltung zuständig sei. Diese Schwachstellen könnten ausgenutzt werden, um gespeicherte Schlüssel auszuspähen oder Codes im Kontext der App auszuführen, um damit böswillige Aktionen durchzuführen.

Niemand untersuchte vertrauenswürdige Anwendungen, welche von Geräteherstellern wie Xiaomi geschrieben wurden

Die sogenannte vertrauenswürdige Ausführungsumgebung oder „Trusted Execution Environment“ (TEE) sei seit vielen Jahren ein fester Bestandteil von Mobilgeräten. Ihr Hauptzweck sei die Verarbeitung und Speicherung sensibler Sicherheitsinformationen wie kryptographischer Schlüssel oder Fingerabdrücke. „Da die Signaturen für mobile Zahlungen in der TEE ausgeführt werden, ist deren Sicherheit maßgeblich für die Sicherheit von Zahlungen.“

Zuvor sei der asiatische Markt, der vor allem durch Smartphones mit MediaTek-Chips repräsentiert werde, noch nicht umfassend erforscht worden. Niemand untersuche vertrauenswürdige Anwendungen, die von Geräteherstellern wie Xiaomi geschrieben wurden, obwohl das Sicherheitsmanagement und der Kern des mobilen Zahlungsverkehrs dort implementiert seien.

Mit der Studie würden erstmalig vertrauenswürdige Anwendungen von Xiaomi auf Sicherheitsprobleme überprüft. Die Untersuchung befasse sich mit den vertrauenswürdigen Anwendungen von Geräten mit MediaTek-Betriebssystem. Das verwendete Testgerät sei das „Xiaomi Redmi Note 9T 5G“ mit „MIUI Global 12.5.6.0 OS“.

Tencent Soter: Xiaomi-Geräte verfügen über integriertes Framework für mobile Zahlungen

Xiaomi-Geräte verfügten über ein integriertes Framework für mobile Zahlungen namens „Tencent Soter“, das eine API (Application Programming Interface) für „Android“-Anwendungen von Drittanbietern bereitstelle, um die Zahlungsfunktionen zu integrieren. Seine Hauptfunktion bestehe darin, die Verifizierung von Zahlungspakete zu ermöglichen, welche zwischen einer mobilen Anwendung und einem entfernten Backend-Server übertragen würden. Darin bestehe im Wesentlichen die Sicherheit, auf die wir alle zählten, wenn wir mobile Zahlungen durchführen.

Nach Angaben von Tencent unterstützten Hunderte von Millionen „Android“-Geräte „Tencent Soter“. „WeChat Pay“ und „Alipay“ seien die beiden größten Akteure in der chinesischen digitalen Zahlungsbranche. Zusammen machten sie etwa 95 Prozent des chinesischen Marktes für mobile Zahlungen aus. Jede dieser Plattformen habe über eine Milliarde Nutzer. „WeChat Pay“ basiere auf dem „Soter“ von Tencent.

Wenn ein App-Anbieter sein eigenes Zahlungssystem implementieren möchte, einschließlich des Backends, in dem die Kreditkarten und Bankkonten der Nutzer gespeichert sind, ohne an die „WeChat“-App gebunden zu sein, könne er direkt den „Tencent-Soter“ verwenden. Diese Vorgehensweise ermögliche es ihm, Transaktionen in Echtzeit auf seinem Backend-Server zu überprüfen und sicherzustellen, „dass ein Zahlungspaket von seiner App, die auf einem bestimmten Gerät installiert ist, gesendet und vom Nutzer genehmigt wurde“.

Xiaomis Schwachstelle CVE-2020-14125 kompromittiert Tencent-Soter-Plattform vollständig

Die von CPR entdeckte Schwachstelle, von Xiaomi mit „CVE-2020-14125“ bezeichnet, kompromittiere die „Tencent-Soter“-Plattform vollständig und ermögliche es einem nicht autorisierten Benutzer, gefälschte Zahlungspakete zu signieren.

„Im Rahmen der Untersuchungen fand CPR eine Möglichkeit, die in Xiaomi-Smartphones integrierte Plattform anzugreifen, die von Millionen von Nutzern in China für mobile Zahlungen verwendet wird. Eine nicht privilegierte ,Android’-Anwendung könnte die Sicherheitslücke ,CVE-2020-14125‘ ausnutzen, um Codes in der vertrauenswürdigen ,Wechat’-App auszuführen und Zahlungspakete zu fälschen.“

Die Schwachstelle sei nach der Offenlegung noch im Juni 2022 von Xiaomi gepatcht worden. Darüber hinaus hätten die Forscher feststellen können, „wie die Downgrade-Schwachstelle in Xiaomis TEE es der alten Version der ,Wechat’-App ermöglichen kann, private Schlüssel zu stehlen“. Diese vorgestellte Leseschwachstelle sei ebenfalls von Xiaomi nach der Offenlegung und Zusammenarbeit gepatcht worden. „Das Downgrade-Problem, das von Xiaomi bestätigt wurde und zu einem Drittanbieter gehört, wird in Kürze behoben.“

Weitere Informationen zum Thema:

cp <r>, Slava Makkaveev, 12.08.2022
Researching Xiaomi’s TEE to get to Chinese money

[datensicherheit.de, 21.07.2022] Nach aktuellen Erkenntnissen des eco – Verband der Internetwirtschaft e.V. sichern nur 25,2 Prozent der Deutschen ihre Urlaubsfotos auf Mobiltelefonen in der „Cloud“. Die meisten Nutzer hätten zudem keine Display-Sperre eingerichtet und lediglich ein knappes Drittel (33,2%) sichere Smartphone-Daten per Backup. Zur Sommerzeit gibt der eco acht Tipps für mehr „Handy-Sicherheit im Urlaub“.

Foto: eco e.V.

Markus Schaffrin: Verzichten Sie in offenen WLANs auf Home-Banking und auf alle Dienste, bei denen Sie sich einloggen müssen!

Smartphone für für die meisten Reisenden Teil des Handgepäcks

Das Smartphone gehöre für die meisten Reisenden fest ins Handgepäck: Fotos und Videos vom Strand oder von Ausflügen teilten viele noch von unterwegs per Social-Media. Persönliche Daten und Fotos seien dabei einem hohen Risiko ausgesetzt, denn nur eine Minderheit der Nutzer beuge diesem durch entsprechende Vorsichtsmaßnahmen vor.

Dies zeigt nach eco-Angaben eine aktuelle repräsentative Umfrage von eco und dem Markt- und Meinungsunternehmen Civey: Eine Displaysperre auf dem Smartphone hätten nur 45,9 Prozent eingerichtet. Nur ein Drittel der Deutschen (33,2%) sichere Daten in Backups. Immerhin 62 Prozent spielten regelmäßig Software-Updates ein. Ein gutes Viertel (25,2% Prozent) sichere Urlaubsbilder in der „Cloud“.

Civey habe im Auftrag von eco 2.500 Personen zwischen dem 19. und dem 20.07.2022 befragt. Die Ergebnisse seien repräsentativ für die deutsche Bevölkerung ab 18 Jahren – der statistische Fehler der Gesamtergebnisse liege bei 3,5 Prozent.

Abbildung: eco e.V.

Ergebnisse der eco-Umfrage „Welche Vorkehrungen treffen Sie, um persönliche Daten auf Ihrem Smartphone zu schützen?“

Im Urlaub erhöhtes Risiko, das Smartphone zu verlieren

„Im Urlaub ist das Risiko erhöht, das Smartphone zu verlieren. Wer Daten und Bilder nicht in der ,Cloud‘ oder auf einem anderen Gerät gesichert hat, verliert bei Handy-Verlust alles unwiederbringlich“, warnt Markus Schaffrin, Security-Experte und eco-Geschäftsbereichsleiter „Mitgliederservices“. Alle Nutzer mobiler Endgeräte sollten zudem eine Displaysperre einrichten oder das Smartphone verschlüsseln, „was neuere Betriebssysteme anbieten“.

Sonst könnten Kriminelle auf sensible Daten und Anwendungen zugreifen, beispielsweise Online-Banking, E-Mail oder „Social Media“-Accounts. „,Cloud‘-Services sind die beste Option, die eigenen Fotos und Videos zu sichern, es gibt eine große Auswahl an kostenfreien Angeboten“, erläutert Schaffrin und gibt acht konkrete Tipps für den Smartphone-Schutz im Urlaub:

1. Displaysperre verhindert unberechtigte Zugriffe
Der Zugriff auf das Mobiltelefon ist damit nur mit einem Code oder biometrisch per Fingerabdruck bzw. Gesichtserkennung möglich. Außerdem sollte die PIN für die SIM-Karte beibehalten werden – diese schütze jedoch nur ein ausgeschaltetes Mobiltelefon.

2. Automatisch Updates installieren
„Stellen Sie Ihr Smartphone so ein, dass es Sie auf Updates hinweist oder diese direkt selbstständig installiert!“ Mit den Aktualisierungen würden nicht nur neue Funktionen, sondern auch wichtige Sicherheitsupdates mitgeliefert. „Aktivieren Sie automatische Updates nur über WLAN, wenn Sie mobile Daten sparen möchten.“

3. Backups in der „Cloud“
„Schützen Sie sich vor Datenverlust, indem Sie alle Fotos, Videos, Kalenderdaten und Kontakte online in der ,Cloud‘ speichern.“ Es gebe dafür viele Anbieter, beispielsweise „iCloud“, „Google Drive“, „Amazon Photos“ oder „OneDrive“. Dies könne je nach Anbieter unter „Einstellungen / Sichern und Wiederherstellen“ konfiguriert werden.

4. Nur Apps aus offiziellen Stores vertrauen
Schaffrin verweist beispielhaft auf „Google Play“ und den „Apple App Store“ und warnt: „Folgen Sie keinen Links, die Sie zu anderen App-Download-Portalen führen. Suchen Sie Apps direkt in den offiziellen App-Stores!“ Die Installation von Apps unbekannter Herkunft solle in den „Einstellungen“ verboten werden.

5. App-Berechtigungen im Blick behalten
„Behalten Sie im Blick, welche Berechtigungen welche App braucht – beispielsweise Zugriff auf Kontakte, Kamera oder Standort!“ Viele Apps sammelten mehr Daten, als auf den ersten Blick nötig erscheint. In den „Einstellungen“ des Smartphones ließen sich die Berechtigungen auch nach der Installation einschränken.

6. Verschlüsselung des Smartphones-Speichers
Dann könne beim Geräteverlust niemand persönliche Daten auslesen. Neuere Betriebssysteme verschlüsselten die Nutzerdaten auf Wunsch automatisch um E-Mails, Kontakte, Fotos, Downloads oder Zugangsdaten zu schützen. Ältere Smartphones ließen sich in den „Einstellungen“ manuell verschlüsseln. „Die SD-Karte im Gerät nicht vergessen, auch hier liegen persönliche Daten und Fotos.“

7. Kein Online-Banking in offenen WLANs
„In einem offenen WLAN surfen Sie zwar kostenlos, es ist aber auch relativ einfach, Ihren Datenverkehr mitzulesen. Verzichten Sie in offenen WLANs auf Home-Banking und auf alle Dienste, bei denen Sie sich einloggen müssen wie Online-Shopping oder E-Mails.“ Schaffrin rät dringend, „solche Dinge“ lieber zu verschieben, „bis Sie wieder zu Hause sind oder nutzen Sie die Datenverbindung Ihres Mobilfunkvertrages“.

8. Sperrung verlorener bzw. gestohlener Mobilfunkgeräte
„Haben Sie Ihr Handy verloren oder wurde es Ihnen gestohlen, können Sie es aus der Ferne orten und auch sperren, um den Zugriff auf Ihre Nutzerdaten zu verhindern.“ Für „Android“ könne hierzu „android.com/find“ aufgerufen werden, für „IOS“ entsprechend „iCould.com/find“. „Hier haben Sie die Möglichkeit, Ihr Gerät aus der Ferne zu orten und als verloren zu markieren.“

Weitere Informationen zum Thema:

datensicherheit.de, 31.08.2021
4 McAfee-Tipps zum Schutz der Tablets und Smartphones im Familienurlaub / McAfee gibt Sicherheist-Tipps, da die Anzahl gezielter Angriffe auf Mobile Devices um mehr als hundert Prozent gestiegen ist

datensicherheit.de, 17.08.2021
Home-Office im Sommer-Modus: Datenschutz macht keinen Urlaub / Sasa Petrovic benennt drei Datenschutz-Aspekte für Unternehmen, welche der Belegschaft Outdoor-Arbeit einräumen

datensicherheit.de, 12.08.2021
eco gibt 6 Tipps: Mit Sicherheit durch den Sommer / KMU sollten auch in der Urlaubszeit Cyber-Sicherheit nicht vernachlässigen